Ausfallsichere OPNsense-Firewall für Koller International Group

Erneuerung der Hardware und Implementierung eines redundanten OPNsense Clusters über die Landesgrenzen hinaus. [...]

Foto: PeteLinforth/Pixabay

Die Firma Koller International Group mit Hauptsitz in Vitis, Österreich, ist in verschiedenen Geschäftsbereichen tätig, wie der Produktion von Whirlpool-Komponenten, Metall- und Kunststofftechnik sowie Holzprodukten für Geschäfts- und Privatkunden. Neben dem Stammwerk in Vitis gibt es zwei weitere Niederlassungen in Wien und in Jindrichuv Hradec (Tschechische Republik).

Die bestehende Firewall-Lösung war in die Jahre gekommen, und deren Hersteller hatte für die eingesetzten Geräte End of Support bzw. End of Life angekündigt. Koller International ist langjähriger Kunde von Siedl Networks und beauftragte den IT-Dienstleister aus Krems an der Donau im April 2022 mit der Planung und Implementierung einer neuen Firewall-Lösung.

Die Herausforderung…

Gewünscht war eine leistungsfähige State-of-the-Art-Firewall auf Multi-GBit-Niveau, ausfallsicher vom Internet bis zum Client. Im Anforderungskatalog standen die Punkte „Redundanz“ und „Kontinuität“ an oberster Stelle: Bei einer Störung oder einem kompletten Ausfall der Internetleitung sollten alle wichtigen Dienste wie E-Mail, VPN, etc. weiter funktionieren.

Alle Niederlassungen, auch die Außenstandorte in Wien und Tschechien, müssen redundant angebunden sein. Das Failover muss im Störungsfall schnell und automatisch mit minimalen Umschaltzeiten erfolgen, um einen unterbrechungsfreien Betrieb des Netzwerkes zu gewährleisten. Natürlich sollte das Zurückschalten in den Normalbetrieb auch automatisch erfolgen, sobald die Störung behoben ist.

Auf der Wunschliste stand ebenfalls eine sichere VPN-Verbindung für Remote Worker. Die Mitarbeitenden sollen von zu Hause oder unterwegs sicher auf das Unternehmensnetzwerk zugreifen und vertrauliche Informationen geschützt übermitteln können.

Die Lösung…

Siedl Networks realisiert digital souveräne IT-Infrastrukturen mit Open-Source-Technologien und in diesem Fall empfahlen die Techniker aufgrund der erfolgreichen Erfahrungen in mehreren Kundenprojekten eine Open-Source-Lösung: OPNsense.

Nach einer ausführlichen Recherche entschieden sich die Techniker von Siedl Networks, an jedem Standort zwei Geräte mit OPNsense einzurichten. Am Standort Vitis kommunizieren die beiden Geräte miteinander – fällt eines aus, übernimmt das andere automatisch, ohne dass ein Administrator manuell eingreifen muss. In Wien und Tschechien waren Cold Standby Lösungen gewünscht. Im Fehlerfall muss der Administrator manuell die 2. Firewalls in Betrieb nehmen.

Bei der Planung stellte sich heraus, dass neben den OPNsense® Rack Security Appliances auch neue Core-Switches am Standort Vitis erforderlich waren. Bei den bisher eingesetzten Switches gab es nicht nur Kompatibilitätsprobleme, sondern die älteren Geräte unterstützten nicht alle benötigten Protokolle.

Das WAN-seitige Routing, um die Kommunikation zwischen verschiedenen Standorten und Netzwerken zu ermöglichen, war komplex. Damit eine WAN-seitige Redundanz hergestellt werden konnte, wurden zwei Glasfaseranschlüsse von unterschiedlichen Providern und auch Netzbetreibern (eine A1-Leitung und eine Nögig-Leitung) eingesetzt.

Damit im Falle eines Ausfalles der primären Internetleitung dennoch alle Services zur Verfügung stehen, wird nun ein via BGP (Border Gateway Protocol) geroutetes Subnetz verwendet, welches im Fehlerfall über den Backup-Provider gerouted werden kann.

Weiters war die Gestaltung eines voll vernetzten (Full-meshed), ausfallsicheren VPN sehr anspruchsvoll. Hier waren im Vorfeld umfangreiche Tests und einige Entwicklungsarbeit notwendig. IPsec war für das geplante Setup unbrauchbar, OpenVPN bot zu wenig Bandbreite, und Wireguard war zu diesem Zeitpunkt noch nicht gut genug in OPNsense integriert.

Die Techniker entschieden sich daher für tinc VPN (Full Meshed auf Layer 2, d.h. das VPN simuliert die gesamte Netzwerkschicht und die verschiedenen Geräte und Standorte erscheinen als Teil eines einzigen lokalen Netzwerks). tinc VPN ist effizient und ressourcenschonend, was die Netzwerklatenz minimiert und sicherstellt, dass die VPN-Kommunikation effizient und mit minimalen Auswirkungen auf die Netzwerkressourcen stattfindet.

Die Umsetzung …

Nachdem die Planungsphase abgeschlossen war, begannen die Techniker von Siedl Networks im Juli 2022 mit den Tests im eigenen Labor. Sie stellten die Kundennetzwerke nach, konfigurierten die Hardware und führten zahlreiche Ausfalltests durch. Das ist effizient und verkürzt die Installationszeit. Nach rund 10 Tagen waren alle zufrieden – jetzt konnte die Implementierung bei Koller International beginnen. Innerhalb weniger Tage stellten die Techniker die Standorte in Tschechien, Wien und Vitis um.

Die OPNsense-Cluster mit Session Sync ermöglichen ein Stateful Failover bei einem Hardwareausfall. Jede Firewall ist redundant über das Link Aggregation Control Protocol (LACP) an einen neuen Switch-Stack (2 mal 10 GBit) angebunden, und jeder Server ist ebenfalls redundant über LCAP mit dem Switch-Stack verbunden. Die Client-Switches sind in einem RSTP-Ring mit dem Switch-Stack verbunden. Diese Ringtopologie ermöglicht redundante Verbindungen, die den Datenverkehr auch dann weiterleiten können, wenn eine der Verbindungen oder ein Switch ausfällt.

Als Intrusion Detection and Prevention System (IDPS) kommt Suricata zum Einsatz, eine der Kernkomponenten von OPNsense. Das Netzwerküberwachungstool analysiert den Netzwerkverkehr in Echtzeit, kann Bedrohungen und Angriffe erkennen und darauf reagieren. Suricata kann den Netzwerkverkehr filtern, bestimmte Verbindungen blockieren oder Alarme auslösen, um Administratoren über verdächtige Aktivitäten zu informieren. Dazu kommen Funktionen wie Traffic Logging, Protocol Analysis, Flow Monitoring etc.

Das Fazit …

Die neue Firewall mit OPNsense ist leistungsstark und ausfallsicher. Sie ermöglicht den reibungslosen Betrieb aller Standorte – auch bei einer Unterbrechung der Internetleitung. Auch das vollautomatische Failover erfüllt alle Ansprüche. Alles ist so konfiguriert, dass Ausfallzeiten auf ein Minimum reduziert werden können. Dank der intelligenten Konfiguration schaltet die Firewall automatisch in den Normalbetrieb zurück, sobald eine Störung behoben ist.

Siedl Networks hat die Herausforderung gemeistert – durch die neue State-of-the-Art Lösung ist die Koller International Group nun optimal geschützt und kann ihre Geschäftsprozesse ohne Sicherheitsbedenken fortsetzen.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*